Popular Topics
Trending NowView All
© Foto von Compare Fibre auf unsplash.com

Continental-Hack
Compliance und Cyberangriffe
byCI Redaktion
8 minute read
Total
0
Shares
0
0
0
0
0

Unternehmen im Minenfeld der Informationssicherheit

Es vergeht kaum eine Woche, in der die Medien nicht von neuen Cyberangriffen berichten. Als „Cyberangriffe“ gelten gezielte Maßnahmen gegen Infrastrukturen der Informationstechnologie, die entweder der Informationsbeschaffung – insbesondere von Kundendaten oder Geschäftsgeheimnissen – oder der Schädigung bzw. Sabotage des angegriffenen IT-Systems dienen. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung im Cyberraum so hoch wie nie zuvor¹. Auch wenn die Bemühungen um mehr IT-Sicherheit steigen, bleibt die IT-Sicherheitslage weiterhin angespannt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, nimmt weiter zu². Dabei sind längst nicht mehr nur die großen Unternehmen potentielle Opfer eines Cyberangriffs; durch neuartige Angriffsmethoden sind zunehmend auch kleinere Firmen von Angriffen betroffen. Der Schaden, den ein Unternehmen durch einen Cyberangriff erleiden kann, erreicht leicht Millionenhöhe. Für Unternehmen können solche Angriffe deshalb existenzgefährdende Ausmaße annehmen.

Im vergangenen Jahr 2022 hat vor allem der Cyberangriff auf den Automobilzulieferer Continental Schlagzeilen gemacht. Bei dem Cyberangriff ist es Hackern der Ransomware-Gruppe “Lockbit 3.0” gelungen, Datenvolumen von insgesamt 40 Terabyte abzugreifen. Darunter waren nach Angaben der Hacker unter anderem auch besonders sensible Daten: vertrauliche Kommunikation von Vorstands- und Aufsichtsratsmitgliedern, Verhandlungsdetails mit Zulieferern, Preislisten und Lagerbestände sowie Kundendaten, etwa von Volkswagen. Die gestohlenen Daten des Dax-Konzerns wurden im Darknet zum Kauf angeboten – für 50 Millionen Dollar. Ob der Konzern die geforderte Geldsumme bezahlt hat, ist nicht bekannt.

Doch wie kamen die Täter an die Daten? Angeblich diente ein nicht autorisierter Browser, den ein einzelner Mitarbeiter aus dem Internet heruntergeladen, installiert und benutzt hat, als Einfallstor für den Cyberangriff. Über diesen Browser konnten die Cyberkriminellen wohl die Zugangsdaten des Mitarbeiters, also das Passwort für sein Benutzerkonto bei Continental, abgreifen, womit sie in das System gelangten. Erst einmal in Besitz der Benutzerdaten konnte sich die LockBit-Gruppe am Benutzerkonto des Mitarbeiters anmelden und dann schrittweise weitere Zugangsdaten erbeuten und letztendlich wochenlang unbemerkt Daten abgreifen.

Den Cyberangriff auf Continental und die aktuellen Entwicklungen haben wir zum Anlass für diesen Beitrag genommen. Er soll Unternehmen zeigen, wie sie sich Unternehmen vor Cyberattacken schützen können. Ein besonderes Augenmerk wird hierbei auf die gesetzlichen Vorgaben und die Compliance-Struktur gelegt. Überdies werden konkrete organisatorische und technische Maßnahmen erläutert, welche die Geschäftsleitung vor und bei einem Cyberangriff ergreifen kann bzw. muss.

Gesetzliche Vorgaben

Die Verbesserung der Cybersicherheit steht schon Jahre auf der Agenda der Politik. Die Bundesregierung verabschiedete bereits 2011 die „Cybersicherheitsstrategie für Deutschland“. Kernpunkte sind der Schutz kritischer Infrastrukturen sowie allgemein der IT-Systeme in Deutschland und der Aufbau eines nationalen Cyberabwehrzentrums.

Dennoch bestehen in Deutschland derzeit nur punktuell konkrete Vorgaben für die Gewährleistung der IT-Sicherheit in Unternehmen. Im Hinblick auf IT-Sicherheit hat der deutsche Gesetzgeber bisher Einzellösungen für verschiedene Spezialbereiche geschaffen: Mit dem am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetz ist erstmals ein übergreifender Rechtsrahmen für die Gewährleistung von Cybersicherheit in Deutschland geschaffen worden. Das Gesetz sieht im Kern IT-Mindeststandards und Meldepflichten für Betreiber Kritischer Infrastrukturen vor. Kritische Infrastrukturen sind gem. § 2 Abs. 10 BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) unter anderem Unternehmen der Energie-, IT-, Telekommunikations-, Finanz- oder Versicherungswirtschaft. Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft. Es erweitert das bislang geltende Gesetz von 2015 deutlich – mit mehr Pflichten für einen größeren Betreiberkreis, höheren Cyber-Security Anforderungen und mehr Befugnissen für den Staat und Regulierungsbehörden.

Auch die EU arbeitet an verschiedenen Fronten, um die Cyberabwehrfähigkeit zu fördern und die Cyberkriminalität zu bekämpfen. So verabschiedete die EU im Jahr 2016 mit der Richtlinie zur Sicherheit von Netzwerk- und Informationssystemen (NIS) die erste EU-weite Gesetzgebungsmaßnahme mit dem Ziel, die Zusammenarbeit zwischen den EU-Ländern in der wichtigen Frage der Cybersicherheit zu verstärken. In Deutschland erfolgte die Umsetzung der NIS-Richtlinie im Jahr 2017 insbesondere über die Anpassung des IT-Sicherheitsgesetzes, das bereits vorher viele Anforderungen umsetzte.

Die erste NIS-Richtlinie der EU wurde sodann durch die zum 16.01.2023 in Kraft getretene neue Richtlinie mit dem Namen „NIS 2“ ersetzt. Die neue Richtlinie erweitert den Kreis der erfassten Unternehmen deutlich und stellt zudem höhere Sicherheitsanforderungen an Unternehmen. Die EU-Staaten müssen die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht überführen; in Deutschland geschieht dies möglicher¬weise mit dem IT-Sicherheitsgesetz 3.0.

Nach der seit Mai 2018 geltenden DSGVO sind Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, verpflichtet, die zum Schutz der Daten „angemessenen technischen und organisatorischen Maßnahmen“ (Art. 32 DSGVO) zu treffen.

Am 15.09.2022 stellte die EU-Kommission überdies ihren Entwurf für den bereits seit geraumer Zeit erwarteten „Cyber Resilience Act“ (CRA – „Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020“) vor. Wie die Bezeichnung des Rechtsaktes bereits vermuten lässt, steht die Stärkung der horizontalen Cybersicherheit für dieses europäische Gesetz im Mittelpunkt.
Darüber hinaus gelten für bestimmte Sektoren Sonderregelungen wie etwa § 165 Abs. 1 TKG, wonach jeder Telekommunikationsdiensteanbieter die erforderlichen technischen Schutzmaßnahmen zu treffen hat. Für den Bankensektor gibt es ebenfalls Spezialregelungen.

Auch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) regelt die Cybersicherheit mittelbar. Im Kern zielt das Gesetz auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer jedoch motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren.

Eine ausreichende Ausstattung der IT-Struktur im Unternehmen ist auch zum Schutz von Daten und im Zusammenhang mit Geschäftsgeheimnissen relevant. Informationen, an deren Geheimhaltung die Unternehmen ein berechtigtes Interesse haben, werden nach dem Gesetz zum Schutz von Geschäftsgeheimnissen nur dann geschützt, wenn die Unternehmen „angemessene Geheimhaltungsmaßnahmen“ (§ 2 Nr. 1 lit b GeschGehG) getroffen haben.

Über diese Spezialbereiche hinaus bestehen verschiedene Geschäftsführungspflichten bezüglich der IT-Sicherheit eines Unternehmens, welche Maßnahmen zur Prävention von sowohl internen als auch externen Risiken vorsehen. Hervorzuheben ist § 91 Abs. 2 AktG. Nach dieser Vorschrift hat die Geschäftsführung geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.

Compliance-Pflichten im Hinblick auf die Cybersicherheit

Die Geschäftsleitung ist nach den gesetzlichen Vorgaben verpflichtet, die Cybersicherheit des Unternehmens zu gewährleisten, das heißt, eine solche zu schaffen und zu erhalten. Die Geschäftsleistung hat unter anderem geeignete Maßnahmen zu ergreifen, um mögliche Gefahren frühzeitig zu erkennen. Dabei sind präventive (= vorbeugende) Maßnahmen genauso wichtig wie ein Notfallplan, der den Umgang mit akuten Cyberangriffen regelt.

Um die geeigneten Maßnahmen zu ermitteln, müssen der Geschäftsleitung zunächst die für das Unternehmen relevanten IT-Risiken bekannt sein. Daran anschließend kann die Geschäftsleitung geeigneten Maßnahmen zur Vermeidung von Cyberattacken im Unternehmen implementieren.

Grundlegende präventive Compliance-Pflichten sind:

  • IT-Sicherheits-Compliance
    Pflicht zur Einhaltung der anwendbaren IT-sicherheitsrechtlichen Vorschriften, die insbesondere branchen- oder sektorspezifischer Natur sein können
  • Früherkennung und Überwachung
    Einrichtung eines Systems zur Früherkennung und Überwachung bestandsgefährdender (= existenzbedrohender) IT-Sicherheitsrisiken
  • Risikomanagement
    Pflicht zur Überwachung und Steuerung aller IT-Risiken. In der Praxis erfolgt dies regelmäßig über die Einrichtung eines allgemeinen
    (IT-) Risikomanagementsystems 
  • Schutz der Geschäftsgeheimnisse
    Zum präventiven Schutz eigener Geschäftsgeheimnisse müssen Unternehmen IT-Sicherheitsvorkehrungen treffen 

Kommt es zu einem Cyberangriff, sind unverzüglich alle erforderlichen Maßnahmen zu ergreifen, um das Schadensrisiko zu begrenzen. Anschließend sind die ermittelten Schwachstellen durch eine entsprechende Optimierung des Compliance-Systems zu schließen.

Präventive Maßnahmen zur Vermeidung eines Cyberangriffs

Wie bereits erwähnt sollte die Geschäftsleitung als präventive Maßnahme eine umfassende Risikoanalyse durchführen. Denn Cyberattacken können nur dann erfolgreich abgewehrt werden, wenn die Unternehmen die Gefahren kennen. Die im Rahmen der Risiko-Analyse ermittelten Risiken hat die Geschäftsleitung in einem zweiten Schritt durch angemessene und wirksame Maßnahmen zu steuern, um die Gefahren von Cyberangriffen für das Unternehmen möglichst zu minimieren. In Betracht kommen hierfür sowohl organisatorische als auch technische Maßnahmen.

Organisatorische Maßnahmen

In organisatorischer Hinsicht sollte ein Unternehmen zunächst ein übergeordnetes IT-Sicherheitskonzept erstellen. Durch dieses sollten unter anderem die Verantwortlichkeiten innerhalb des Unternehmens klar festgelegt sein. Es empfiehlt sich die Erstellung eines detaillierten Notfallplans durch die Geschäftsleitung oder durch einen/eine zuständigen Mitarbeiter:in. Der Notfallplan sollte neben den Namen der verantwortlichen Personen auch deren Aufgaben und Kompetenzen sowie die Ansprechpartner enthalten. Der Plan sollte außerdem Berichtswege und -zeiträume festlegen sowie klare Regelungen zu den Berichtspflichten treffen, damit das Unternehmen angemessen und schnell reagieren kann. Überdies sollte im Plan definiert sein, was ein Cyberangriff ist und auf welche Arten von Cyberangriffen in welcher Art und Weise reagiert werden soll. Schließlich kann es insbesondere in größere Unternehmen sinnvoll sein, einen Krisenstab zu bilden.

Technische Maßnahmen

Unternehmen können verschiedene technische Maßnahmen treffen, um Cyberangriffe zu verhindern bzw. zu erschweren. Als grundlegende Maßnahme sollte der Virenschutz und die Firewall aller im Betrieb genutzten technischen Geräte auf dem aktuellen Stand gehalten werden. Dies gilt ebenso für die verwendete Software, vor allem für das Betriebssystem (Patch-Management). Zudem sollten Programme aus dem Internet nur mit Genehmigung des IT-Personals oder des Geschäftsführers heruntergeladen werden. Mit dieser präventiven Maßnahme hätte womöglich der oben geschilderte Cyberangriff auf Continental vermieden werden können.

Es sollte eine strenge Passwortrichtlinie eingeführt werden. Die von den Mitarbeitenden genutzten Passwörter müssen individuell sein, eine Mindestlänge sowie Sonderzeichen vorweisen und regelmäßig aktualisiert werden. Zudem sollten Unternehmen stets alle Benutzerkonten überprüfen sowie alte, ungenutzte oder unbekannte Geräte entfernen.

Darüber hinaus gilt es den Zugriff auf sensible Daten entlang eines Berechtigungskonzeptes technisch einzuschränken. Alle Mitarbeiter:innen im Unternehmen sollten nach dem Need-to-know-Prinzip lediglich Zugriff auf diejenigen Daten erhalten, die sie für die Ausübung ihrer Tätigkeit zwingend benötigen. Im Falle einer Cyberattacke kann so unter Umständen der Umfang der betroffenen Daten eingeschränkt werden. Um die Auswirkungen eines Cyberangriffes zusätzlich einzudämmen, können Verschlüsselungsverfahren implementiert werden. Im Rahmen der sog. Data at Rest Protection (DARP) werden Daten im Ruhezustand verschlüsselt, um sie im Falle eines unrechtmäßigen Abgangs für die Hacker unbrauchbar zu machen. Hierbei muss stets der Stand der Technik berücksichtigt werden, um zu gewährleisten, dass die eingesetzten Verschlüsselungsverfahren nicht technisch überholt und folglich vergleichsweise einfach zu umgehen sind.

Außerdem ist es sinnvoll, wenn Unternehmen ihre Beschäftigten mithilfe von IT-Schulungen über Cyberrisiken aufklären und auf mögliche Gefahren hinweisen. Alle Mitarbeiter:innen sollten für die digitalen Gefahren, darunter auch Cyberangriffe, und den Umgang mit diesen sensibilisiert werden.

Unternehmen sollten (ab einer Mindestgröße) über ein eigenes IT-Personal verfügen, welches Security-Strategien entwickelt und Sicherheitsmaßnahmen implementiert, um IT-Schwachstellen zu identifizieren und Cyberangriffe abzuwenden.
Die aufgezählten technischen Maßnahmen sind nicht abschließend; vielmehr sind für jedes Unternehmen mit seinen individuellen Cyberrisiken die geeigneten technischen Maßnahmen zu ermitteln.

Maßnahmen im Falle eines Cyberangriffs³

Im ersten Schritt sollte das betroffene Unternehmen analysieren, welche Art eines Cyberangriffs vorliegt und welches Ausmaß festzustellen ist. Es sollten alle angegriffenen Systeme identifiziert und dokumentiert werden, welche Geschäftsbereiche, Systeme und Daten betroffen sind. Durch die Analyse kann das Unternehmen beurteilen, ob es gesetzliche Meldepflichten, etwa nach dem IT-Sicherheitsgesetz 2.0 oder der DSGVO erfüllen muss. Verstöße gegen eine Meldepflicht können empfindliche Geldbußen zur Folge haben. Eine Meldung hat i.d.R. innerhalb von 72 Stunden zu erfolgen.

Was häufig übersehen wird: Es sind in besonders risikoträchtigen Fällen auch die konkret betroffenen natürlichen Personen – also diejenigen Personen, deren Daten abgegriffen wurden (Beschäftigte, Kunden, Newsletterempfänger, …) – in nachvollziehbarer, verständlicher Art über die betroffenen Dateninhalte, das Missbrauchspotenzial sowie die eigenen ergriffenen Schutzmaßnahmen zu informieren (Art. 34 DSGVO).

Außerdem sollte das Unternehmen durch eine fundierte Analyse ermitteln, welche technischen Abwehr- und Wiederherstellungsmaßnahmen zu ergreifen sind.
An die Analyse anschließend hat die Risikobeseitigung stattzufinden. In organisatorischer Hinsicht sollten zur Risikobeseitigung zunächst die im Notfallplan geregelten Schritte durchgeführt werden.

In technischer Sicht ist die Beweissicherung von Bedeutung. Hier sollten System-Protokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert werden. Durch eine Beweissicherung können sich Unternehmen einerseits von etwaigen (Erpressungs-) Forderungen Dritter schützen. Andererseits ermöglicht sie eine zeitnahe Wiederherstellung des Normalbetriebs. Die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und private) Accounts müssen überprüft (z.B. neue Passwörter, 2FA) werden. Zur Wiederherstellung des Betriebsablaufs müssen sodann die betroffenen Systeme vom Netzwerk getrennt und alle unautorisierten Zugriffe unterbunden werden. Erst daran anschließend können die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut werden.  Nach einem Cyberangriff sollte eine fachliche und rechtliche Aufarbeitung erfolgen. Etwaige Schwachstellen im System müssen geschlossen und Verbesserungspotenzial ausgeschöpft werden. Sollte der Notfallplan organisatorische oder prozessuale Schwächen offenbart haben, ist dieser anzupassen.

Fazit

Die Gefahr eines Cyberangriffs ist für fast alle Unternehmen omnipräsent. Ein Angriff auf die IT-Infrastruktur kann binnen kürzester Zeit erhebliche Schadensketten in Gang setzen und demnach ein sofortiges Eingreifen erforderlich machen. Ein Befolgen der gesetzlichen Vorgaben sowie ein angemessenes Compliance- und Risiko-Management für Cybersicherheit können helfen, Cyberangriffe zu vermeiden oder adäquat im Ernstfall darauf zu reagieren, um den Schaden zu minimieren.

Quellen:
  1. www.eco.de/presse/eco-it-sicherheitsumfrage-2022-unternehmen-reagieren-auf-angespannte-cybersicherheitslage
  2. www.bsi.bund.de/…/Lagebericht2022.pdf
  3. BSI, Top 12 Maßnahmen bei Cyberangriffen, S. 1
Total
0
Shares
Teilen 0
Mail 0
Tweet 0
Teilen 0
Share 0
Prev
OLG Hamm: Strenge Anforderungen an Werbung mit „umweltfreundlich“ | 19.08.2021 (Az. 4 U 57/21)
Markenparfüm Discounter

OLG Hamm: Strenge Anforderungen an Werbung mit „umweltfreundlich“ | 19.08.2021 (Az. 4 U 57/21)

Urteil der Woche
Next
Souveräne Clouds
©446670418 - stock.adobe.com

Souveräne Clouds

Kriterien der unabhängigen Datenschutzaufsichtsbehörden für Datensicherheit und
You May Also Like